Was fehlt mir noch?

Rund um die Sicherheit des Systems und die Applikationen
rhona
Posts: 2
Joined: 2011-05-20 11:09

Was fehlt mir noch?

Post by rhona » 2011-05-20 12:04

Moin,
da ich auch wieder mal nen Server neu aufsetze wollte ich mal hören was mir u.U. noch fehlt.

Am Ende soll stehen: Sicherer server mit lighttpd, mysql, php5 als fastcgi

Gemacht habe ich bis jetzt:

- /etc/passwd alle unnoetigen user raus, alle user dies nicht brauchen shell auf /bin/false
- SSH Access nur per keyfile, keyfiles alle per Passphrase gesichert
- SSH auf anderen port
- SSH rootlogin verboten
- fail2ban drauf + Grundkonfiguration
- Bei rootlogin automatisch Mail, aufs Handy
- Cron mit chkrootkit report per mail
- system is up to date

Soll noch gemacht werden:
- Suhosin drauf (PHP Sicherheit)
- webbackends alle nur per localhost abrufbar (SSH tunnel)
- fail2ban weitergehend konfigurieren
- auth.log per cron verschicken
- tripwire drauf mit automatischer Mailbenachrichtigun aufs handy
- lighty in ner chroot umgebung einrichten
- gemailte logs automatisch greppen und ggf. warnung rausschicken

Das die logmail crons, bei einem bereits übernommenen System nicht viel bringen, ausser gegen kiddies ist mir klar. Aber immerhin etwas.

Fragen:
Fehlt noch was wichtiges / elementares?
brauch www-data shell zugriff? afaik nein oder irre ich?

Bitte um Feedback
rhona

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Was fehlt mir noch?

Post by Joe User » 2011-05-20 21:06

fail2ban ist IMHO sinnfrei, der Rest passt und ist für einen privat genutzten Server völlig ausreichend. Am Wichtigsten sind grundsätzlich zeitnahe Updates aller Pakete und insbesondere aller WebApps unabhängig davon, ob Sicherheitslücken geschlossen wurden, da nicht alle Sicherheitslücken in den Changelogs genannt werden.

Der Webserver-User benötigt keinen Shellzugriff.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.